Google rilascia un aggiornamento di emergenza per correggere la nuova vulnerabilità di Chrome esistente in natura

Google ha rilasciato un aggiornamento di sicurezza di emergenza, che risolve una nuova vulnerabilità di sicurezza zero-day di Chrome.

“Google è a conoscenza dell’esistenza di un exploit per CVE-2023-4863”, ha annunciato la società in un avviso di sicurezza . Questo problema è stato descritto come un caso di overflow del buffer heap che risiede nel formato immagine WebP.

Per aiutarti a capire, l’overflow del buffer di heap si verifica quando un programma tenta di scrivere più dati in un buffer di memoria allocato di quanti il ​​buffer sia effettivamente progettato per contenere. In alcuni casi, questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire l’esecuzione di codice arbitrario, il che significa che può eseguire codice di sua scelta sul sistema interessato.

Google attribuisce ad Apple Security Engineering and Architecture (SEAR) e al Citizen Lab della Munk School dell’Università di Toronto il merito di aver scoperto e segnalato il difetto il 6 settembre 2023. Tuttavia, la società di Mountain View si è astenuta dal rivelare dettagli sul bug. Google non fornisce informazioni su come gli aggressori potrebbero aver sfruttato la vulnerabilità.

Gli utenti di Chrome sono vivamente incoraggiati ad aggiornare i propri browser Web alla versione più recente, 116.0.5845.187 per Mac e Linux e 116.0.5845.187.188 per Windows . Questo aggiornamento è essenziale poiché risolve la vulnerabilità CVE-2023-4863.

Il nuovo firmware è attualmente in fase di distribuzione agli utenti nei canali Stabile ed Esteso e potrebbe raggiungere tutti gli utenti nei prossimi giorni o settimane. L’aggiornamento era disponibile per il download quando abbiamo controllato la disponibilità di nuovi aggiornamenti su un PC Windows tramite il menu Chrome > Guida > Informazioni su Google Chrome.

L’ultima vulnerabilità arriva dopo che Google ha annunciato ad agosto che avrebbe rilasciato aggiornamenti di sicurezza settimanali per gli utenti di Stable Chrome. La società ha affermato che affronterà e rilascerà tempestivamente una patch non programmata per Chrome nel caso in cui si scoprisse che un exploit di sicurezza viene sfruttato attivamente in natura.